すべてのプロダクト
Search
ドキュメントセンター

Express Connect:MACsec

最終更新日:May 26, 2026

MACsec (Media Access Control Security) は、IEEE 802.1AE 標準に基づくレイヤー 2 のリンク暗号化プロトコルです。ハードウェアを使用して物理接続上で低レイテンシのデータ暗号化を提供し、転送中のデータを保護します。物理ポートの作成時に MACsec 機能を有効にすると、その物理ポートの詳細ページの MACsec タブで MACsec キーを管理できます。

概要

概念

説明

CKN (Connectivity Association Key Name)

Connectivity Association Key の名前です。CAK を一意に識別します。CKN は、MKA (MACsec Key Agreement) プロトコルの参加者がキーネゴシエーションのために正しい CAK を選択する際に役立ちます。

CAK (Connectivity Association Key)

MACsec のコントロールプレーン通信に使用される Connectivity Association Key です。CAK はデータ暗号化に直接使用されるのではなく、SAK (Secure Association Key) を導出するための基礎として機能します。

SAK (Secure Association Key)

データの暗号化と復号化に使用される Secure Association Key です。システムは CKN/CAK ペアから SAK を自動的に導出し、定期的に再生成します。

MKA (MACsec Key Agreement)

MACsec Key Agreement プロトコルです。MACsec のセキュアチャネルを確立および管理し、キーのネゴシエーションを行う役割を担います。

MACsec は、次の暗号化アルゴリズムをサポートしています:

  • GCM-AES-128

  • GCM-AES-XPN-128

  • GCM-AES-256

  • GCM-AES-XPN-256

重要

高帯域幅のリンクでは、コントロールプレーンの過負荷によるパケット損失を防ぐために、GCM-AES-XPN-256 暗号化アルゴリズムを使用してください。

キーの関連付け

物理ポートの作成時に MACsec 機能を有効にしたことを確認してください。

  1. 対象の物理ポートの ID をクリックして詳細ページを開き、MACsec タブをクリックします。

    このタブは、MACsec 暗号化をサポートする物理ポートにのみ表示されます。このタブが表示されない場合、物理ポートの作成時に MACsec 機能が有効になっていません。
  2. 関連付けられた MACsec キー をクリックし、暗号化アルゴリズム を選択してから、接続関連付けキー名 (CKN)接続関連付けキー (CAK) を入力します。CKN と CAK はどちらも 16 進数文字 (0-9, A-F) の文字列である必要があります:

    • GCM-AES-128GCM-AES-XPN-128 アルゴリズムの場合、CKN と CAK は 32 文字の 16 進数文字 (128 ビット) の長さである必要があります。

    • GCM-AES-256GCM-AES-XPN-256 アルゴリズムの場合、CKN と CAK は 64 文字の 16 進数文字 (256 ビット) の長さである必要があります。

  3. OK をクリックします。キーが正常に追加されると、システムは自動的に最新のキーを使用して MKA ネゴシエーションを開始します。

    • [関連付け中]:MACsec キーは物理接続で検証およびネゴシエーション中です。

    • [関連付け済み]:MACsec キーは検証され、物理接続に正常に関連付けられました。

    • [関連付けに失敗しました]:MACsec キーの検証に失敗し、物理接続に関連付けられませんでした。再度関連付ける をクリックして再試行できます。

    • [関連付けられていません]:MACsec キーは物理接続から関連付けが解除されました。

キーのローテーション

MACsec はキーのローテーションをサポートしており、最大 3 つの CKN/CAK ペアを保存し、接続を中断することなく手動でキーをローテーションできます。

  • キーは追加日時の降順でソートされ、最新の MACsec キーが一番上に表示されます。

  • 新しい CKN/CAK ペアを関連付けると、システムは自動的に最新のキーを使用してネゴシエーションを開始します。お客様の CPE にも同じキーペアを設定してください。

  • 最新のキーでのネゴシエーションが失敗した場合、システムは自動的に以前にアクティブだったキーにフォールバックして暗号化を行います。キーが 1 つしかなく、そのネゴシエーションが失敗した場合、通信は中断されます。

  • 関連付け済みまたは失敗状態のキーを 関連付けの解除 すると、システムは自動的にリスト内の次のキーでネゴシエーションを試みます。

  • 関連付けられていません 状態のキーのみ削除できます。

オンプレミスルーターの設定

Alibaba Cloud で MACsec キーを設定した後、オンプレミスルーター側でも対応する MACsec 設定を行う必要があります。ルーターベンダーのドキュメントを参照して、次のパラメーターを設定してください:

パラメーター

説明

MACsec 暗号化アルゴリズム

Alibaba Cloud で設定したアルゴリズムと一致させる必要があります。

CAK 暗号化アルゴリズム

AES_256_CMAC

CKN/CAK

Alibaba Cloud で設定した CKN/CAK ペアと一致させる必要があります。

セキュアチャネル識別子 (SCI)

有効にする必要があります。

重要

トラフィックの中断を避けるため、Alibaba Cloud コンソールで MACsec キーを追加してネゴシエーションを開始する前に、オンプレミスルーターで MACsec の設定を完了してください。

制限事項

  • 現在、MACsec は暗号化必須モードのみをサポートしています。Alibaba Cloud とお客様の CPE との間のキーネゴシエーションが失敗した場合、ネットワーク接続は中断され、すべてのトラフィックがブロックされます。

  • 既存の物理ポートで MACsec を有効にすることはできません。新しい物理ポートを作成するときにのみ有効にできます。

  • 各物理ポートは、最大 3 つの MACsec キーペアをサポートします。

  • キーは 16 進数文字 (0-9, A-F) を使用する必要があります。CKN と CAK は、どちらも 32 文字 (128 ビット暗号化アルゴリズムの場合) または 64 文字 (256 ビット暗号化アルゴリズムの場合) の長さである必要があります。

  • セキュアチャネル識別子 (SCI) は必須であり、無効にすることはできません。

  • IEEE 802.1Q (Dot1q/VLAN) タグを暗号化されたペイロードの外に移動することはサポートされていません。

  • MACsec は物理ポートの属性です。仮想ボーダールーター (VBR) で個別に MACsec をクエリしたり無効にしたりすることはできません。